淺談網(wǎng)絡(luò)故障排除

　　排除網(wǎng)絡(luò)問題可能很棘手，任何故障排除工作的第一步就是檢查相應(yīng)網(wǎng)絡(luò)部件的統(tǒng)計數(shù)字。然而，如果那些統(tǒng)計數(shù)字表明一切都很好，可是網(wǎng)絡(luò)問題依然出現(xiàn)，那么你就只好引入故障排除界的“瑞士軍刀”――數(shù)據(jù)包分析。雖說市面上有好多出色的收費產(chǎn)品可用于分析數(shù)據(jù)包，不過我還是青睞開源工具Wireshark(https://www.wireshark.org/download.html)。

　　在分析涉及負載均衡系統(tǒng)的問題時，需要解答的第一個問題就是負載均衡系統(tǒng)是不是處于透明模式下。在透明模式下，負載均衡系統(tǒng)會將原始客戶機的IP地址作為源IP地址來傳送。而在非透明模式下，負載均衡系統(tǒng)會使用負載均衡系統(tǒng)的虛擬IP地址(VIP)對服務(wù)器請求進行網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)處理。非透明模式是最常見的實施模式。

　　現(xiàn)在你準備獲取跟蹤文件。在理想情況下，下圖中的每一個點都會插入分路器(tap)。要是你沒有分路器，可以使用SPAN(交換機端口分析器)或交換機上的鏡像端口來捕獲流量�；蛘吣阋部梢詫Ψ阑饓�和負載均衡系統(tǒng)的入站和出站端口使用tcpdump命令。關(guān)鍵在于同時捕獲所有四個位置的數(shù)據(jù)包，分析來自四個不同有利位置的會話。

　　你捕獲了數(shù)據(jù)后，必須找到出現(xiàn)在所有四個跟蹤文件中的單一會話。通常，你只要過濾相應(yīng)的兩個IP地址就可以了。但是記住負載均衡系統(tǒng)在服務(wù)器端執(zhí)行NAT，所以過濾客戶機IP地址并不適用于服務(wù)器端痕跡。

　　進入到第4層可以解決這個問題。你可以按照TCP報頭中的序列號進行過濾。不過要小心;Wireshark在默認情況下顯示相對序列號，你到頭來會遇到數(shù)百個序列號為1的數(shù)據(jù)包。關(guān)鍵在于關(guān)閉TCP參數(shù)選項中的相對序列號。只要只要取消勾選該選項，實際的十進制數(shù)就會顯示，而不是相對會話開始的序列號。一旦你過濾了所有四個痕跡文件中的同一序列號，你在每個文件中應(yīng)該有一個數(shù)據(jù)包。

　　如果你的負載均衡系統(tǒng)在NAT端創(chuàng)建自己的數(shù)據(jù)包發(fā)往服務(wù)器，棘手問題就來了。序列字段然后不再從頭到尾都一樣。這種場景下使用的最佳字段就是應(yīng)用層所特有的字段。如果是HTTP，我建議使用Cookie字段;如果是HTTPS，則建議使用Client Hello中的Random Bytes字段。

　　最后，你面對在多個地方捕獲的單一會話，可以分析其痕跡了。首先，尋找數(shù)據(jù)包丟失現(xiàn)象。在Wireshark的專家分析語言中，那些丟失的數(shù)據(jù)包會被標為“Previous segment not captured”(未捕捉到的先前片段)。這會出現(xiàn)在一個或多個痕跡文件中，但并不出現(xiàn)在所有痕跡文件中。比如說，如果你在防火墻痕跡的出站端(而不是入站端)看到來自服務(wù)器的響應(yīng)，就知道防火墻丟失了數(shù)據(jù)包。

　　分析數(shù)據(jù)包丟失現(xiàn)象后，檢查TCP握手機制，確保TCP選項在一路當中并沒有被篡改。當沿途中的某個設(shè)備創(chuàng)建自己的數(shù)據(jù)包，而不是以透明方式一路傳送時，窗口縮放(windows scaling)和選擇性確認(Selective Acknowledgements)往往會消失。那兩個選項對吞吐量而言很重要，不應(yīng)該去掉。

　　在痕跡中要關(guān)注的最后一個問題是很高的增量時間(delta time)。如果捕獲了四個不同位置的數(shù)據(jù)，你就真正能夠查看什么東西在添加延遲(要是果真有什么東西的話)。先看一下握手機制。使用同步請求(SYN)與同步響應(yīng)(SYN/ACK)的間隔時間作為基準。看一下離客戶機最近的防火墻入站端留下的痕跡中的其余請求和響應(yīng)。

　　針對那些增量時間為一秒或更長的請求/響應(yīng)組合，逐步檢查每個痕跡，直到你找到哪個端口在增添延遲為止。是處理器使用激增的防火墻嗎?還是跟蹤NAT表有問題的負載均衡系統(tǒng)?也許是并發(fā)連接數(shù)量太多的服務(wù)器。仔細檢查痕跡，可以告訴你哪里有問題，哪里沒有問題。

　　設(shè)置數(shù)據(jù)包捕獲機制可能在網(wǎng)絡(luò)滅火行動中會占用寶貴的時間，不過從長遠來看它可以節(jié)省大量的時間。

【淺談網(wǎng)絡(luò)故障排除】相關(guān)文章：

排除網(wǎng)絡(luò)故障的原則12-14

網(wǎng)絡(luò)故障診斷及排除方法05-24

網(wǎng)絡(luò)故障診斷過程和排除10-01

計算機網(wǎng)絡(luò)故障與排除方法08-02

計算機網(wǎng)絡(luò)故障的診斷與排除方法10-10

淺談Linux網(wǎng)絡(luò)故障的解決辦法10-22

計算機網(wǎng)絡(luò)故障診斷和排除方法10-03

淺談局域網(wǎng)常見故障及排除策略10-16

淺談通透信號燈解決網(wǎng)絡(luò)故障的方法06-26

網(wǎng)卡引起的網(wǎng)絡(luò)故障01-05